php

第1得分点

搜索Unauthorized找到EnsureTokenIsValid.php
alt text
X-Token对上就可以了
请求头X-Token输入为my-secret-token

第二得分点

访问token路由会返回token值。

将token和cookie都替换一下就可以成功访问了
Levaler的token默认是X-CSRF-TOKEN头

看代码可以发现上传的name为avatar,上传后会保存到/var/www/laravel-project/storage/app/文件名
这里我们是无法执行的,但是move存在目录穿越我们可以传to为../../public/aaa.php从而穿越到public

文件上传然后move存在目录穿越穿越到public下

第三得分点

大多数回显的点都直接使用Blade::render并没有预处理存在ssti
直接在demo的name下插入ssti语句即可命令执行
@php system(‘whoami’); @endphp

每个语言挑选中级或高级其中一个做,做两个按高级算分。

java

第五得分点

配置文件中找到shirokey

shiro反序列化网上早已有payload利用网上的工具